10-го марта портит CMOS и выводит текст:
HAIGUSTE RAVI KONTROLLITUD VAIKUSE PIMEDUSE JA RAADIOGA
Содержит также строки:
NiL *.EXE
Radio.2076
Неопасный резидентный полиморфик -вирус. Перехватывает INT 9, 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от своего счетчика (примерно через 6 минут после инсталляции в память) вирус выводит текст:Радио 101-наслаждение даже при половине громкости!
При нажатии на Alt-Ctrl-Del выводит картинку:
####################################### BERZIN FANS CLUB PRESENT ## ## ## ## ###### ###### ####### ### ### ## ## ## ## ## ## ## ## # # ## ## ### ## ## ##### ## ## ## # ## ## # ## ###### ## ####### ## ## ### ## ## ## ## ## ## ## ## ## ## ###### ## ## TEL:(095)434-00-00 OR 03 #######################################
Radish, семейство
Очень опасные нерезидентные вирус. При запуске записываются вместо C:\COMMAND.COM. Меняют видео-фонт, содержат строки:"Radish.8444": David Mutimer - OZ c:\command.com Screaming Radish [NaRQ] "Radish.8466": c:\command.com Screaming Radish [LaME]/[NaRQ]/[DoRK]/[CHuMP]
Демонстрации вирусных эффектов:
RADISH.COM |
Radyum, семейство
Нерезидентные безобидные зашифрованные вирусы, ищут .COM-файлы и записываются в их конец. Содержат строки:radyum, the attitude adjuster, brought to you by ViRuLeNT GRaFFiTi *.COM
"Radium.503,509" содержит строку:
lythyum, the attitude adjuster, ViRuLeNT GRaFFiTi
Некоторые из "Radium" создают файлы HELLO.RAD или LITHIUM.HI!, в который записывают сообщение:
"Radium.698": radyum-b, by the attitude adjuster, brought to you by ViRuLeNT GRaFFiTi 07/31/92 Greets to Gary Watson! look for us again in the future.
"Radium.707": radyum, version 2, by the attitude adjuster, brought to you by ViRuLeNT GRaFFiTi 07/31/92 Greets to Gary Watson! look for us again in the future.
"Radium.860": radyum-c, by the attitude adjuster, brought to you by ViRuLeNT GRaFFiTi 08/18/92 6 out of 16 bytes will keep the same position and value, not too bad in my book! greets to patti hoffman, i love you!
"Radium.1072" иногда оставляет в памяти резидентную программу, которая перехватывает INT 8 и периодически выводит сообщения:
Unsuspecting user, 12 o'clock! Get ready... 'cause... THERE'S A VIRUS IN YOUR SOUP! From the guys that brought you Lythyum, Radyum, and VioLite comes The Soupy Virus, (k) 1992 VG Enterprises, 216/513/602/914/703 By The Attitude Adjuster & AccuPunk! Hurry! Hire an Anti-Virus Professional! Increase Wallet Space! ...hmmm, ya' know, I think I'll halt now... [Soupy] The Attitude Adjuster & AccuPunk, VG 08/23/92 to 12/02/92 Bad command or file name
Rael.3211
Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывает себя в конец COM-файлов (кроме COMMAND.COM) при их запуске или открытии. Поражает файлы также при их поиске DOS'овскими функциями FindFirst/Next ASCII, содержит строки:c:\dos\sys.com c:\dos\dosshell.com c:\dos\format.com c:\dos\keyb.com
и поражает эти файлы при старте. В зависимости от системного таймера записывает в файлы троянскую программу, которая при запуске уничтожает сектора дисков.
По 14-м числам уничтожает файлы после их заражения, а начиная с 12:00 выводит сообщение:
### ## ### # # # # # # # ### #### ### # # # # # # # # # # # ### #### IMPERIAL AEROSOL KID V 01/NOV/93 por RAEL
Вирус также содержит строки:
com COMMAND command RAEL-IMPERIAL AEROSOL KID VIRUS III -Buenos Aires-Argentina- ...Rael, Imperial Aerosol Kid-exits in the daylight, spraygun head... - SaTaNiC BRaIn B.B.S. 383-7480 Las 24 Horas -
Демонстрации вирусных эффектов:
RAEL.COM |
RagDoll.942
Неопасный резидентный вирус. Копирует себя в EMS, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Под отладчиком вешает компьютер. Детектирует резидентный монитор TBAV и выводит текст:TbDriver, TBAV TSR utilities driver (C) Copyright 1992-94 Thunderbyte BV. 0 Program not supported.
Также содержит строку:
Rag Doll Virus by Sx (c) 1995 AeroSmith Rulze!!
Rager.1383
Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. При запуске DRWEB блокирует работу своей TSR-копии. При запуске LOGIN в зависимости от системного времени расшифровывает и выводит текст и затем перезагружает компьютер:********** Warning ! ********** Novell NetWare report : Hardware A30 error detected. Registers : AX :2134 BX :3C23 CX :1841 DX :5421 CS :2451 DS :2023 ES :538A SS :6C8B SI :46AE DI :94B4 SP :4541 BP :491C Try restart file-server,if it will not give effect, switch off your network and call trained service-people.
Press any key to restart this computer.
Вирус также содержит строки:
NetWare virus from Avenge (tm) family . (C)Rager , Simferopol State University
Rajaat, семейство
Безобидные резидентные вирусы. Перехватывает INT 21h и поражают EXE-файлы. Содержат строку: "Rajaat"."Rajaat.287,443" - компаньон -вирусы. При запуске .EXE-файлов создают компаньон-файлы с расширением COM.
"Rajaat.443" перехватывает также INT 28h. При вызовах INT 28h ищет и поражает .EXE-файлы.
Остальные вирусы "Rajaat" записывают себя в конец EXE-файлов при их запуске.
Rajaat.144,146
Опасные нерезидентные вирусы. Ищут .COM-файлы и записывается в их начало. Используют достаточно необычные приемы и могут испортить файлы и/или завесить систему. Содержат строку:*Rajaat.COM
Rajaat.RTFM
Безобидный нерезидентный полиморфик -вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строки:Rajaat [RTFM]
Ramesy.336
Опасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. По причине ошибки портит файлы небольшой длины. Содержит строку:[RAMESY] Coaxial Karma/94 *.COM
Randall.3072
Неопасный нерезидентный полиморфик -вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. Уничтожает файл CHKLIST.MS, содержит строки:\DOS *.exe *.com CHKLIST.MS RANDALL FLAGG
Ranger.290
Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:RANGER
Rape, семейство
Очень опасные резидентные вирусы, перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Стирают сектора дисков, затем расшифровывают и выводят текст на экран:"Rape.500":
DataRape! v1.0 (C)1991 Zodiac RABID, USA
"Rape.747":
DataRape! v1.1 (c)1991 Zodiac RABID, USA.topic Rage
Rape.483,486,575
Семейство "Rape" . Очень опасные нерезидентные зашифрованные вирусы, ищут и записываются в их COM-файлов текущего и корневого каталогов. "Rape.575" периодически расшифровывает и выводит на экран: "Pray for death - RABID '91". По 13-ым числам выводит текст:Rage - RABID Int'nl Development Corp. By Data Disruptor - Thanks to Zodiac
и стирает сектора дисков. Также содержит тексты: "Patricia Boon", "*.COM".
По 21-м числам ежемесячно "Rape.483,486" сообщает:
486 Virus - (C)1991 RABID, InternationalBy Zodiac - RABID Priest
и также стирает дисковые сектора.
Rape.1882,2877
Семейство "Rape" . Очень опасные резидентные зашифрованные вирусы, перехватывают INT 21h, 27h и записываются в конец COM- и EXE-файлов."Rape.2877" по воскресеньям сообщает:
It's Sunday. Why are you working? Take the day off compliments of RABID
Содержит текст:
Patricia Boon Free Flash Force!!!
Записывает в сектора дисков послание:
------------------
DataRape! v2.2 By Zodiac and Data Disruptor
(c) 1991 RABID Int'nl Development Corp.
------------------
Greetings to The Dark Avenger, Tudor Todorov, Patricia Hoffman (Get your articles correct for a change... Maybe we should write for you...), John McAfee (Who wouldn't be where he is today if it were not for people like us...), PCM2 (Get your ass back in gear dude!) ProTurbo, MadMan, Rick Dangerous, Elrond Halfelven, The Highwayman, Optical Illusion, The (Real) Gunslinger, Patricia (SMOOCH), The GateKeeper, Sledge Hammer (Let's hope you don't get hit by this one 3 times), Delko, Paul 'Jougensen' & Mike 'Hunt' (And whoever else was there to see Chris & Cosy) the entire Bulgarian virus factory, and any others whom we may have missed... Remember: Winners don't use drugs! Someone card me a lifesign though...
(c) 1991 The RABID International Development Corp.
"Rape.1882" стирает сектора дисков, выводит на экран текст:
DataRape! v2.0 -CONFIGURABLE- (c)1991 Zodiac RABID, USA
Демонстрации вирусных эффектов:
RAPE.COM |
Raptor, семейство
Неопасные резидентные вирусы. "Raptor.c" заштфрован. Перехватывают INT 21h и записываются в конец EXE-файлов при их загрузке в память или открытии. По 13-м числам перехватывают также INT 1Ch и проявляют себя видео-эффектом. Если день совпадает с номером месяца (1-е января, 2-е февраля,...) вирусы расшифровывают и выводят сообщение, после чего перезагружают компьютер:"Raptor.1800.a":
The Raptor virus version 1.5 Copyright 3.12.1993 - Hacker club Brno - Czech republic Don`t panic!! This virus doesn`t destroy data! I am most kindly virus!! I should inform you that soon comes Raptor2.0 with special sealth systems! You can be sure that Raptor2 will be totally untouchable!
"Raptor.1800.b":
The Rotpar virus 1st version Copyright 13.3.1994 - PHP students Blansko CR Did you like the red color in the background ? We didn't like it !! We changed it into blue. The texts were also stupid, so we changed them too !! Many happy returns in the next version of Rotpar. Thanks !
"Raptor.1800.c":
The Raptor virus version 1.7 Copyright 3.12.1993 - Hacker club Brno - Czech republic Don`t panic!! This virus doesn`t destroy data! I am most kindly virus!! I should inform you that soon comes Raptor2.0 with special sealth systems! You can be sure that Raptor2 will be totally untouchable!
"Raptor.1800.d":
The Raptor virus version 1.4 Copyright 3.12.1993 - Hacker club Brno - Czech republic Don`t panic!! This virus doesn`t destroy data! I am most kindly virus!! I should inform you that soon comes Raptor2.0 with special sealth systems! You can be sure that Raptor2 will be totally untouchable!
Демонстрации вирусных эффектов:
RAPTOR.COM |
Rat.615
Неопасный нерезидентный вирус. Поражает COM-файлы текущего каталога. Содержит в себе текстовые строки:Techno-Rat I. Copyright by Lord Blaise, Odessa 1991. *.* *.COM .\*.COM COM
Runtime.365
Неопасный нерезидентный вирус, ищет .COM-файлы и записывается в их конец. По пятницам периодически сообщает:Runtime error 412
Rushhour, семейство
Очень опасные резидентные вирусы. Перехватывают INT 10h, 21h и записываются вместо файла KEYBGR.COM (если такой есть в текущем каталоге) при запуске любой программы. В зависимости от своих счетчиков проявляются "шумом" в динамике компьютера. Содержат строки:This program is a VIRUS program. Once activated it has control over alls ystem devices and even over all storage media inserted by the user. It continually copies itself into uninfected operating systems and thus spreads uncontrolled. The fact that the virus does not destroy any user programs or erase the disk is merely due to a philanthropic trait of the author......
Russel, семейство
Резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним."Russel.1200,1235" очень опасны, перехватывают также INT 13h и периодически блокируют запись на диск ("Russel.1200"), или пишут информацию на диск вместо чтения ("Russel.1235").
"Russel.3072" - полиморфик -вирус, уничтожает файл CHKLIST.MS, содержит строки:
CHKLIST.MS RUSSEL FARADAY
Rust.1710
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их загрузке в память. После 19-го числа ежемесячно перед заражением очередного файла в динамике раздается жужжание. Содержит текст:(C) Dialogue, Rust. 1990
При запуске вирус освобождает участок памяти (для этого корректирует MCB-блоки), переносит туда свою TSR-копию, устанавливает вектор 21h в значение 0000:0200, а по адресу 0000:0200 записывает команду перехода (JMP FAR) на свой обработчик INT 21h. Видимо, этими действиями вирус пытается обойти некоторые резидентные антивирусные мониторы.
Ryazan.512
Резидентный безобидный зашифрованный вирус. Свою резидентную копию записывает в таблицу векторов по адресу 0000:0200, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Содержит текст:Ryazan
Rycho, семейство
Неопасные вирусы, при запуске ищут EXE-файлы и записывается в их конец."Rycho.1024.a" и "Rycho.1536.a" нерезидентны. "Rycho.1024.b" и "Rycho.1536.b" резидентны, перехватывают INT 1Ch, 21h и ищут .EXE-файлы при запуске любой программы.
В зависимости от системного времени и даты "Rycho.1024.b" меняет шрифты символов таким образом, что символы становятся невидимыми. Вирусы "Rycho.1536" выводят сообщения:
"Rycho.1536.a": A.N.F. Walczy...Punx not dead...!!! #VIR v1.41 "Rycho.1536.b":
+----> UWAGA - wirus `ASIULA` <---+ | Marry Christmas and Happy New | | Year. Ha,Ha my friends. RYCHO G.| +---------------------------------+
Rycho.Babol.2048
Безобидный резидентный вирус. Перехватывает INT 13h, 21h и при переходе на другой диск ищет EXE-файлы и записывается в их конец. Содержит несколько процедур, которые никогда не вызываются. Содержит строки:(C) Dj.Babol *Made in Poland *Greetings to M.Sell *Beda z ciebie ludzie ..sie smiali!*.COM -is safe! You are death*Pozdrowienia dla w.wirusowcow! *.EXE
RZ.160
Опасный резидентный вирус. При запуске копирует себя в область памяти по адресу 6000:0000 без коррекции MCB блоков - это может вызвать зависание компьютера. Затем вирус перехватывает INT 21h и записывается в начало COM-файлов при их запуске. В начале зараженных файлов содержится слово "RZ".
Rabbit.504
Опасный нерезидентный вирус. Ищет и заражает COM-файлы. Записывается в их середину: ищет в файле область нулевых байт и записывает в нее свой код. По причине ошибки портит некоторые файлы. После заражения выводит на экран имя файла.
RedCode.1513
Неопасный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их закрытии. При открытии или отладке зараженных файлов вирус лечит их. 1 января выводит тексты, вызывает видео-эффект и завешивает комрьютер:Viral RedCode Implant Today's contest between Big Butt Gasso and Himmler Fewster BIIIIIIG BUTT GASSSOOOO... WINSSSSS !!! FEWSTER BANSSSSS GASSSSOOOOOOOO !!!
Также содержит строки:
The RedCode virus by Wintermute/29A; yeah, not a kickass at all, but with a funny payload, don't you agree ? Watch the payload !
Демонстрации вирусных эффектов:
REDCODE.COM |
Rash.1737
Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или закрытии. При открытии зараженных файлов лечит их. Никак не роявляется, содержит строку:- Rash97 -
RMS.1472
Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Не заражает антивирусы: AVG, CLEAN, GUARD, NOD, SCAN, TBAV, TOOLKIT, FINDVIRU, VSAN. 1 декабря выводит текст:Hello ! I'm RMS2 virus. I was born in Slovakia about one year ago. Don't be worry, I won't format your hdd ... :-) Press any key to continue.
Также содержит строку:
Kurt lives ... somewhere in time. Zrdavim virusovy radar
RMC.1551
Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске или открытии. 16-го февраля выводит текст и завешивает компьютер:# # # ## ## # # ## # ## ### # # ## # # # # # # # # # # # # # # # # # # # # # # # # # # # ### ### ## ## # # ## # ## # ### # # ### # # # # # # # # # # # # # # # # # # # # # # # # # # # # # ## # # # # # # ## # # #
Ы Ы Ы ЫЫ ЫЫЫ ЫЫЫ Ы Ы ЫЫЫ Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы ЫЫ Ы ЫЫ ЫЫЫ Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы ЫЫЫ ЫЫЫ Ы Ы Ы
THIS VIRUS WAS MADE BY RACASAN MIRCEA AND TODAY IS HIS BIRTHDAY. SO, GO AHEAD AND CELEBRATE, AND IF YOU WANT TO WRITE HIM, HERE IS HIS ADDRESS : LEODINGER STRAсE 1/11 A-4050 TRAUN ЩSTERREICH
Также содержит ID-строку:
RMC16277
Rmdc, семейство
Резидентные вирусы. Перехватывают INT 21h и записывается в конец EXE-файлов при их запуске. "Rmdc.608.b" содержит ошибку и иногда портит COM-файлы. При инициализации некоторые из этих вирусов вызывают INT 21h с AX='RM', резидентная часть вируса возвращает AX='DC'.
RNMS, семейство
Безобидные резидентные вирусы. "RMNS.651,736" зашифрованы. Трассируют и перехватывают INT 21h, затем записываются в конец COM-файлов при их запуске. Содержат строки:"RMNS.651": ----> - R.M.N.S. - Test Virus .COM 651 <---- "RMNS.736": ----> - R.M.N.S. - Test Virus .COM 736 <----
RMNS.MW
Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов.Вирус разделен на две части: Man и Woman. Алгоритм заражения разделен между обеими частями: они инсталлируют себя в память, затем часть Man перехватывает запуск файлов и вызывает часть Woman, которая заражает файл либо кодом Man, либо кодом Woman в зависимости от текущего значения таймера (при этом один и тот же файл при его повторном запуске не заражается обеими частями сразу). В результате вирус размножается только в том случае, если в памяти присутствуют обе его части.
В коде вируса содержатся строки:
"RMNS.MW.Man.297": R.M.N.S Test virus R.M.N.S MW Man "RMNS.MW.Woman.353": R.M.N.S Test virus R.M.N.S MW Woman
Robal.2048
Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Уничтожает файл CHKLIST.MS. В зависимости от текущей даты выводит сообщения:\_/ >< /^\
UWAGA! To naprawde jest WIRUS ROBAL ver 1.1. Gratuluje infekcji.
WARNING!! Anty-virial ALERT ! System is killed ! Oh, No! It`s virus Robal Your computer is dead. Your career is over.
Демонстрации вирусных эффектов:
ROBAL.COM |
Rodolf.4096
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При вызове функции GetDate или в зависимости от своего внутреннего счетчика выводит текст:Hi hi ! I'm killing you !
Также содержит строки:
Rodolf virus Version 1.0 ED
Rogue, семейство
Опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов, "Rogue.1807" записывается в середину EXE-файлов. Уничтожают файлы CHKLIST.*, в зависимости от текущей даты перехватывают также INT 8 и выводят сообщение:Now you got a real virus! I'm the ROGUE ...!
Портят DBF-файлы.
"Rogue.1206" содержит зашифрованную строку:
TEDESVAMORTEQUIERODOROINIMAGINABLE 20-03-89 8:57PM
"Rogue.1807" 29 сентября выводит текст:
MS-DOS cheking MCB's. Please wait... I'am The Rogue.
Rom, семейство
Неопасные резидентные вирусы. Перехватывают INT 21h и записывается в конец COM-файлов при их запуске. При инсталляции своей TSR-копии сообщают:"Rom.331": Drive Not Ready. "Rom.397": ROM BIOS not compatible.
и возвращаются в DOS без запуска программы-носителя. При заражении файла "Rom.397" переименовывает его в "WHY_ME", затем поражает файл и переименовывает обратно в первоначальное имя.
Romania.856
Безобидный резидентный вирус. Перехватывает INT 13h, 28h и при вызовах INT 28h ищет .COM-файлы и записывается в их конец. Содержит строки:COMMAND ROMANIA
Roohi.2048
Неопасный резидентный вирус. Остается резидентным только под DOS 5.0 или выше, в противном сучае выводит сообщение:Incorrect DOS version
и выходит в DOS.
Перехватывает INT 21h и обрабатывает DOS-функцию ChDir (смена каталога). При вызове жэтой функции вирус ищет EXE-файллы (кроме SCAN.EXE, CLEAN.EXE, FINDVIRU.EXE) и записывается в их середину между EXE-заголовком и основным телом файа.
По 13-м числам выводит сообщение и завешивает компьютер:
Roohi v2.0 This is Power of Iran - 1995 Roohi Virus Found, By Seyed Roohollah Marashi
Rosebud.912
Очень опасный резидентный вирус, "родственник" вирусов "Jerusalem". Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. В зависимости от системной даты (если сумма номеров текущего дня и мксяца равны 30 - январь 29, февраль 28 и т.д.) уничтожает файлы вмето их заражения. Содержит текст:WARNING : This Rosebud virus is simple, because it was made for interest. But Next virus will be bit more complex.
Rotor.1068
Неопасный резидентный самошифрующийся вирус. Перехватывает INT 8, 21h и записывается в конец COM- и EXE-файлов при доступе к ним. При запуске заражает файл COMMAND.COM (вирус содержит в себе строку "c:\command.com"). Если номер текущего месяца совпадает с номером дня (1-е января, 2-е февраля, ...) вирус вращает на экране символы 'l', '-', '/', '\', '|'.Демонстрации вирусных эффектов:
ROTOR.COM |
RTL.805
Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Содержит ошибки и может завесить систему при заражении очередного файла. Не дает удалять файлы, при этом выводит текст:I'm sorry, but I cant let you mercilessly slaughter poor innocent files in their prime! Files have a RIGHT TO LIFE too
Rubbit, семейство
Неопасные резидентные самошифрующиеся (кроме "Rubbit.681,734,1018") вирусы. Ищут адрес первоначального обработчика INT 21h в DOS, перехватывает INT 21h и записывается в конец файлов при их запуске. При заражении памяти "Rubbit.681,734,1018" копируют себя по адресу 9000:0106 без коррекции блоков памяти, это может завесить компьютер. Остальные вирусы "Rubbit" используют методы корректировки MCB-блоков или функцию KEEP прерывания INT 21h."Rubbit.681,734,1018" заражают только .COM-файлы, при заражении переименовывают файл в "\RUBBIT.$$$", заражают его и переименовывают назад. Остальные "Rubbit" заражают как COM-, так и EXE-файлы.
"Rubbit.3811,3839" - стелс -вирусы.
9-го сентября "Rubbit.2060,3164,3811,3839" выводят сообщения:
"Rubbit.2060":
## << How do you do >> ## ## !! Today is My Birthday !! ## $$ OH! YES! Happy Birthday To You ! $$
"Rubbit.3164":
## RuBBit Version 2.2 Written by [P.F] in Taiwan. ## ## This idea is from Dark Slayer. 1994/05/02 ##
"Rubbit.3811":
## !! RuBBit Version 2.1 !! ## ## << How do you do >> ## ## !! Today is My Birthday !! ## $$ OH! YES! Happy Birthday To You ! $$
"Rubbit.3839":
## !! RuBBit Version 2.0 !! ## ## << How do you do >> ## ## !! Today is My Birthday !! ## $$ OH! YES! Happy Birthday To You ! $$
Также содержат строки:
"Rubbit.681,734,1018": :\RUBBIT.$$$ "Rubbit.2060,3164,3811,3839": RuBBit
Демонстрации вирусных эффектов:
RUBBIT.COM |
Rubix, семейство
Опасные нерезидентные зашифрованные вирусы. Записываются вместо .COM-файлов в текущем каталоге. Шифруют себя поблочно и за/расшифровывают необходимые части своего кода "на-лету". Содержат строки:*.COM Well, this is a new overwriting virus. K00l, huh? Not really. But it encrypts different sections of itself during executioner, and that's neat. Coder: Executioner
Ruchawi.2560
Очень опасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. 14-декабря шифрует MBR винчестера и выводит сообщение:Today is my birthday. /// Dzisiaj obchodze urodziny. Wish me all the best. /// Zycz mi wszystkiego najlepszego. Ruchawi(R)
Выводит и другие строки:
Do not turn off your machine for 5 days, becouse most important data from your HD may be lost!!! Nie wylaczaj swojego komputera przez 5 dni, bo mozesz stracic wazne dane z twardego dysku!!!
You work too much!!! Go to bed!!! Pracujesz zbyt wiele!!! Idz spac!!!
Now, you can turn off your machine. Mozesz wylaczyc komputer.
Rhubarb.215
Безобидный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Никак не проявляется, содержит строки:*.COM +Rhubarb v1.0+
Rider.577
Очень опасный нерезидентный самошифрующийся вирус. При запуске ищет COM-файлы и записывается в их конец. Уничтожает файлы:C:\COMMAND.COM C:\DOS\COMMAND.COM C:\IO.SYS C:\MSDOS.SYS
Содержит строки:
The iNFiLtRAtOR Virus by The Dark Rider from Norway-93 *.COM
RiftVilly.480
Безобидный резидентный вирус. Перехватывает INT 21h и при вызовах DOS-функции ChangeDir (смена каталога) ищет .COM-файлы в текущем каталоге и записывается в их конец. Содержит строку:Rift Villy v.3.1
Rikki, семейство
Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. При заражении файлов временно переименовывают их в Filename.COx (x=FFh), для этого не вызывают DOS-функций - правят имя файла в каталоге, пользуюсь вызовами прямого чтения/записи (INT 25h/26h).Выводят строки:
"Rikki.839":
Demo virus #1 by Rikki Cate 21/9/90 File infected: Press key to continue
"Rikki.1787":
Demo virus #3 by Rikki Cate 21/9/90 File infected: Press key to continue
"Rikki.1970"
Demo virus #2 by Rikki Cate 21/9/90 File infected: Press key to continue
PC-cillin has been replaced by a demonstration virus. To activate the virus, reboot the computer.
PC-cillin has been replaced by a demonstration virus. This message could easily duplicate the PC-cillin start-up screen. The virus is now resident in memory in place of PC-cillin. It will emulate the PC-cillin display and command keys. It will also infect any .COM programs which are accessed by interrupt 21 hex. Press any key to continue.
Riluttanza.689
Неопасный нерезидентный вирус, ищет .COM-файлы и записывается в их конец. Содержит в себе строки текста:E-RILUTTANZA (C) '92 by GROG - Italy >>11/92<<
Если два первых байта зараженного файла - инструкции NOP,NOP, то вирус выводит текст:
Sebbene suo marito andasse spesso in viaggio per affari, ella odiava star sola. "Ho risolto il nostro problema", disse egli. "Ti ho comprato un San Bernardo. Si chiama Estrema Riluttanza." "Adesso, quando vado via, sai che ti lascio con Estrema Riluttanza!" Ella lo colpi' con un mestolo.
RingWorm.303
Очень опасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается вместо них. Содержит строку:[ringworm]
Riot, семейство
Riot.278,279,282,392, Tower.411
Безобидные резидентные вирусы. Копируют себя в таблицу векторов прерываний и перехватывают INT 21h. Записываются в конец файлов при обращении к ним. "Riot.393" заражает только COM-файлы, "Riot.278,392" заражают COM и EXE. Вирусы семейства содержат строки:"Riot.279,281,282": EXTASY! (c) Metal Militia / Immortal Riot "Riot.392": RAVAGE! (c) Metal Militia / Immortal Riot
"Riot.Tower.411" выводит текст:
Tower Virus (c)1994 Thiss vihruws riten bi a prawducked af thee waauren woulds skoul distriks.
Riot.355
Резидентный вирус, перехватывает INT 21h и записывается вместо запускаемых файлов. Содержит/выводит строки:Marked-X Will we ever learn to talk with eachother? (c) Metal Militia/Immortal Riot In any country, prison is where society sends it's failures, but in this country society itself is faily Bad command or filename
Riot.426,428
Опасные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. В некоторых случаях выводят сообщение: "ARBEIT MACHT FREI!" или стирают сектора дисков. Содержат также текст:The Unforgiven / Immortal Riot Sweden 01/10/93
Riot.723,724,Face,RedMercury,Stioxyl,Uniq
Опасные нерезидентные зашифрованные вирусы. При запуске ищут СOM-файлы и записываются в их конец. Записывают в файл DOS\KEYB.COM троянскую программу, уничтожают файлы, стирают сектора дисков. Содержат строки:"Riot.723,724": ImmortalRiot [BAD ATTITUDE!] (c) '94 The Unforgiven/Immortal Riot \dos \dos\keyb.com
"Riot.Face": Faces of Death - (c) 1994 The Unforgiven/Immortal Riot \DOS\EDIT.COM c:\dos\keyb.com Materialism - the religion of today, ain't it sad?
"Riot.Stioxyl": [Stioxyl] (c) '94 The Unforgiven/Immortal Riot \DOS\EDIT.COM
"Riot.RedMercury": I hereby annex this sector as the property of IR! Red Mercury (c) '94 The Unforgiven/Immortal Riot *IR.COM c:\dos\keyb.com c:\autoexec.bat c:\config.sys c:\command.com
"Riot.Uniq": [UNiQ](c) 1994 Metal MilitiaImmortal Riot, Sweden c:\dos\keyb.com
Riot.789
Очень опасный нерезидентный вирус. Ищет .COM- и .EXE-файлы диска C: и записывается вместо них. Создает файл C:\INFERNAL.IR, куда записывает сообщение:Infernal Demand! (c) Metal Militia / Immortal Riot Your misery is our pleasure! Your nightmare is our dream! Your hell is our paradise! Your lost is our demand! Your cry is our laugh! And your fate is ours!
Riot.1203
Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Иногда оставляет резидентную программу, которая перехватывает INT 08h и выводит сообщение:Another year passed by Another tear the willows crys to change the world we ever try to make a difference before we die [PSYCHOSIS] Greets, Phalcon/Skism. (c) 93/94 The Unforgiven / Immortal Riot
Также содержит строку:
\\ Merry Xmas and a happy new year // Sweden - Snowing Again
Riot.Aladdin
Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Стирает CMOS, сектора дисков, выводит сообщения:DEBUGGING IS VERY ILLEGAL (NOT!) I am an assasin, I want to and shall kill you! I also hate Aladdin and will also kill it! I will eliminate you with the touch of just one finger Look at my revenge! Crying wont help you! I am a dangerous virus, I live! I am created by: The [HACKING HELL] !!!! Fear me! I am more powerfull than GOD! Aladdin Killer #1 Hacking Hell I-EAS Virus Creation Centre v0.19с [AK] [HH] [IE-VCC v0.19с] XXX-Rated
Riot.BadReligion
Очень опасные нерезидентные зашифрованные вирусы. При запуске ищут COM-файлы и записываются в их конец. В зависимости от текущего времени стирают сектора дисков. Содержат строки:[Bad Religion] (c) 1994 The Unforgiven/Immortal Riot \DOS\EDIT.COM *.com
Riot.Caffeine.366
Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от системного времени оставляет резидентную программу, которая перехватывает INT 21h и уничтожает файлы при их запуске. Вирус содержит строки:[Caffeine] (c) 1994 The Unforgiven/Immortal Riot*.com
Riot.CarpeDiem
Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от системного таймера стирает MBR винчестера и выводит текст:CARPE DIEM! (c) '93 - Raver/Immortal Riot
Также содержит строку:
Sweden 16/11/93*.com
Riot.CarpeDiem.1012,1033
Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или закрытии. Содержит/выводит строки:CARPE DIEM! - SIEZE THE DAY! (c) '95 The Unforgiven/Immortal Riot Kudos to Raver, Conzouler & King_Dan! Program infected!
Riot.CarpeDiem_II
Неопасные резидентные зашифрованные вирусы. Перехватывают INT 8,9,21h и записываются в конец COM-файлов при их запуске или закрытии. При открытии зараженных файлов лечат их. Выводят тексты:"Carpediem_II.1299,1305": CARPE_DIEM_II - FLOATING THROUGH THE VOID! "Carpediem_II.1409,1415": CALL 0910-14000 for a CURE! This virus was written by The Unforgiven/Immortal Riot
Также содержат строки:
"Carpediem_II.1299,1305": SVW: The Unforgiven/Immortal Riot Fuck Corporate Life! "Carpediem_II.1409,1415": Fuck you Ratman! It's some version of CARPE DIEM_II!
Riot.Coke.535
Неопасный нерезидентный вирус. При запуске ищет .EXE-файлы и записывается в их конец. Содержит ошибки и корректно заражает только файлы длиной около 340K. По первым числам выводит:Love to LISA :)
Также содержит строки:
Cocaine [CoKe](c) Metal Militia/Immortal Riot Cocaine's running thrue your vainsIt seems you have become an addict *IR.EXE
Riot.Conjurer, Riot.Immortal
Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Выводят тексты:"Riot.Conjurer.270": CoNJuReR.BSC! "Riot.Conjurer.300": CoNJuReR.300! "Riot.Conjurer.433": Ajax is kampioen, Ajax blijft kampioen, er is nog geen club die daar iets aan kan doen! CoNJuReR.AJAX Rulez! [iMMoRTaL EAS] Ajax won UEFA-Cup 1995!!!
"Riot.Conjurer.Tng": Diz mezzie iz printed by: CoNJuReR.TNG (The Next Generation!) "Riot.Conjurer.VCC.269": Test Virus #1 Hacking Hell I-EAS Virus Creation Centre v0.19с [T1] [HH] [IE-VCC v0.19с] "Riot.Conjurer.VCC.408": DEBUGGING IS VERY ILLEGAL (NOT!) Test Virus #2 Hacking Hell I-EAS Virus Creation Centre v0.19с [T2] [HH] [IE-VCC v0.19с] "Riot.Conjurer.VCC.586": DEBUGGING IS VERY ILLEGAL (NOT!) Test Virus #3 Hacking Hell I-EAS Virus Creation Centre v0.19с [T3] [HH] [IE-VCC v0.19с]
"Riot.Immortal.265": iMMoRTaL.263!! "Riot.Immortal.353": iMMoRTaL.358!! "Riot.Immortal.377": iMMoRTaL.377 {{Encrypted!!} "Riot.Immortal.510": iMMoRTaL.510 {{Encrypted!!} "Riot.Immortal.550": iMMoRTaL.550!!
Riot.DDeath
Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит строку:Digital Death - v0.90с (c) '94 Raver/Immortal Riot
Riot.Digital
Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. В зависимости от текущего времени и даты пищит динамиком компьютера или стирает CMOS. Содержит строку:Digital Pollution (c) '94 Raver/Immortal Riot
Riot.Doom
Неопасный нерезидентный зашифрованный вирус. При запуске ищет EXE-файлы и записывается в их конец. После своей работы занимает часть системной памяти, но не перехватывает прерываний. Содержит строку:DOOM! (c) '93 Raver/Immortal Riot
Riot.Enemy.757
Очень опасный резидентный вирус. Перехватывает INT 21h и поражает запускаемые файлы. При запуске файла FILENAME.EXE создает файл FILENAME.EXE и записывает туда свою копию. В результате .EXE-файлы при запуске будут уничтожены вирусов, а для остальных файлов вирус создаст компаньон .EXE-файлы. Вирус содержит строки:Unknown Enemy (c) Metal Militia/Immortal Riot I'm hurt, machineguns firing behind my back Never had no chance, no way to do a attack Thisone sure is the last time i guess Heading for a private deathrow, nothing less Blood, quickly pumping out from the vound in the vain Damn, this moment makes you sort of go insane Close my eyes, had much left to see Was my fault, but did they have to do it, gee? Promise me, this hit you will remember Take one of them down before winter comes in december Why that month? Well, i like it very much Fresh, cool air, wonders of the snow to touch The world is wonderful, what else to say? Just remember this shit, cause it happends every day
Riot.Eternity
Нерезидентные зашифрованные вирусы. При запуске ищут EXE-файлы и записываются в их конец. "Riot.Eternity.562,565" безобидны, "Riot.Eternity.600" в зависимости от текущего времени стирает сектора дисков. Содержат строки:"Riot.Eternity.562,565": [ETERNITY!] (c) '93 The Unforgiven/Immortal Riot "Riot.Eternity.599,600": Eternity_II (c) '94 The Unforgiven/Immortal Riot..
Riot.Evil
Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строки:Our past is our future! [INVISIBLE EVIL!] (c) Metal Militia/Immortal Riot Dedicated to all the victims.. Greets to B-real!/IR It's like this and like that and like thisena It's like that and like this and like thatena It's like this.. Love to Lisa! All i ever wanted.. All i ever asked for..
Riot.Evil.811
Модификация "Riot.Evil". Очень опасен - по 31-м числам форматирует сектора дисков. Содержит строки:!BIOHAZARD!U Found ME! BIOHAZARD VIRUS - INV. EVIL ALTER - THE WРТ$ИL! HEY HEY TO ALL A/V LAMERS!! HA! Greets to B-real!/IR Well, The WРТz is back, and he has an attitude! Quit reading the code, yes, this is a fucking virus! Catch me, Dare ya! The WРТ$ИL!!!! Are you done yet??? Fuck this, Later C:!!!
Riot.Fire.473
Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит/выводит строки:Fight Fire With Fire... *.COM Soon to fill our lungs the hot winds of death The gods are laughing, so take your last breath Immortal Riot..Death Greets me warm..
Riot.Hybris
Неопасный резидентный зашифрованный стелс-вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или закрытии. При открытии зараженных файлов лечит их. В зависимости от своего случайного счетчика перехватывает INT 8,9,16h, проявляется видео-эффектом, выводит тексты:THIS PROGRAM IS (C) 1995 IMMORTAL RIOT [HYBRiS] (c) '95 =TU/IR=
Riot.Insine.1026
Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало или середину запускаемых или закрываемых файлов. В зависимости от текущего времени стирает сектора дисков и выводит текст:Insane Reality.. The Unforgiven / IR..
Riot.Maria
Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. По 2-м числам ежемесячно стирает сектора дисков. Иногда оставляет резидентную программу, которая перехватывает INT 08h и выводит сообщение:Maria K lives.. Somewhere in my heart.. Somewhere in Sweden.. I might be insane.. But the society to blame.. The Unforgiven / Immortal Riot
Riot.Marked.354
Очень опасный резидентный вирус. Перехватывает INT 21h и записывается вместо запускаемых файлов. Содержит/выводит строки:Marked-XWill we ever learn to talk with eachother? (c) Metal Militia/Immortal Riot In any country, prison is where society sends it's failures, but in this country society itself is faily Bad command or filename
Riot.Mega
Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит/выводит сообщения:DEBUGGING IS VERY ILLEGAL (NOT!) You computher is now infected with: MEGA-DESTRUCTION The Conjurers.... Mega Destruct Hacking Hell I-EAS Virus Creation Centre v0.19с [MD] [HH] [IE-VCC v0.19с]
Riot.Moonlite.458
Очень опасный нерезидентный самошифрующийся вирус. При запуске ищет .COM-файлы и записывается в их конец. По понедельникам оставляет резидентную программу которая перехватывает INT 21h и уничтожает файлы при их запуске, также перехватывает INT 09h и перезагружает компьютер при нажатии на клавишу DEL. Вирус содержит/выводит строки:Metallic Moonlite (c) Metal Militia/Immortal Riot Greetings to The Unforgiven/IR Bad command or filename
Riot.Multi
Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске. По первым числам стирают сектора дисков. Содержат строки:COPY ME, SO I CAN TRAVEL!!!!! Why am i so fly? ;) Mmm.. Mmm.. Mmm.. For the smell of it!!!!! MULTIMULTIMULTIMULTI MULTI-FLU v1.0 (c) 1994 Metal Militia Immortal Riot Sweden All viruswriters worldwide Рare to be gratulated!!!!! FLUFLUFLUFLU Written during SUMMERTIME!!!!! Happy happy! Joy joy! Winterkvist is. a looser!!!!! Greetings to the rest of IMMORTAL RIOT This is property of IR
Riot.Multiplex
Очень опасные нерезидентные вирусы. Ищут .COM-файлы и и записываются в их конец. По 5-м числам стирают сектора диска C:. Содержат строки:MULTiPLEX (c) 1994 Metal Militia Immortal Riot, Sweden Somewhere, somehow, always :) *.com ImRio
Riot.Overdoze
Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Содержат строку:[Overdoze] (c) 1994 The Unforgiven/Immortal Riot
Riot.Psychosis.1195
Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:\\ Merry Xmas and a happy new year // Sweden - Snowing Again
Иногда оставляет резидентную программу, которая перехватывает INT 8 и выводит тексты:
Another year passed by Another tear the willows cry to change the world we ever try to make a difference before we die [PSYCHOSIS] Greets, Phalcon/Skism. (c) 93/94 The Unforgiven / Immortal Riot
Riot.Radiation
Неопасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Уничтожает файл CHKLIST.MS, в зависимости от текущей даты выводит текст:[RADIATION] .oO 1995 by CoKe Oo. Your hate is my love, your lie is my truth! But love can be hate, and truth can be a lie!
Также содержит строки:
CHKLIST.MS Made in Luxembourg 1995 To MANDY, the greatest girl I know ! Thanks to Metal Militia
Riot.Salamander
Безобидные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске или закрытии. При открытии зараженных файлов вирусы лечат их. Содержат строки:"Salamander.888": [- Salamander Four -] (c) by Blonde/IR 1995 "Salamander.940": [- Salamander Four -] (c) by Blonde in 1994
Riot.Sturm
Очень опасные нерезидентные зашифрованные вирусы. При запуске ищут EXE-файлы и записываются в их конец. В зависимости от текущей даты стирают сектора дисков. Содержат строки:[StБrm und Drang!] (c) '94 The Unforgiven/Immortal Riot*.EXE
Riot.sUMsDos.472
Очень опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в начало COM-файлов при их запуске. Проверяет буфер экрана на наличие строки "sUMsDos" и стирает сектора дисков, если таковая строка обнаружена.Очень опасные ("TTT.840" неопасен) нерезидентные зашифрованные вирусы. При запуске ищут COM- или EXE-файлы (в зависимости от версии вируса) и записываются в их конец. В зависимости от текущей даты "TTT.712,1063" стирают сектора дисков. Содержат/выводят строки:Riot.TTT ---------
"Riot.TTT.712":
The Tea, Toasts, and Titties virus 1.00EXE You are screwed by a swedish virogen! This virus is freeware, feel free to distribute!
"Riot.TTT.840":
This virus is a direct-action infector of .com files that will search for files to infect in the current, DOS and in any directories below this. If it find an un-infected comfile it will be infected, though still work as before. The virus is freeware, and you are allowed and even encouraged to copy it to your friends The Tea, Toasts and Titties virus v1.00Made in Sweden 1994
"Riot.TTT.1063":
This is The Tea, Toasts, and Titties virus v1.1. It is very destructive and will spread to some of your com files. Please distribute as much as you want. Any damage caused by this virus is appreciated. Beware [TTTT] Live now and don't die courious! Legalize everything! Fucking is nice - don't die vir(o)gen! Bad Religion! - Alah Дlskar dig.. nДr du Дr dФd! Stoppa rasismen, krossa facismen! och dФd Жt politikerna!! Raseri.. ANARKI! Och! Дlska mig.. la-la-la.. bara MIG!.. !!
Riot.Dial.1529
Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. Проверяет первые два символа запускаемых файлов со списком:SC TB F- SM TO FI MS VI
и при запуске таких программ либо форматирует диск, либо выводит сообщение и вешает компьютер:
Program cannot be executed. Infected with Manzon by Red-A of Immortal Riot. Reboot and remove this very virulent virus! System Halted!
Вирус также перехватывает INT 8, 9 и "трясет" экран (INT 8), или при нажатии на Alt-Ctrl-Del (INT 9) выводит сообщение:
DIAL 911 FOR RESCUE! YOU CAN'T REMOVE THIS VIRUS YOURSELF!
Вирус также содержит текст:
[Insert virus_name and your nickname at this place manually!]
Riot.IR8.1968
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или при вызове DOS-функций FindFirst/Next FCB (команда DIR). При вызове функции GetDiskSize вирус создает файл IR-DEMO.COM и записывает в этот файл программу, которая при запуске выводит текст:THIS PROGRAM IS (C) - 1996 IMMORTAL RIOT - ALL RIGHTS RESERVED!
Вирус также содержит строки:
Immortal Riot Technologies! All Rights Reserved Not enough memory How can hell be any worse? COMEXEDIR Conzouler.dyno go BOMB 'em ALL! "SUCK MY DICK, FEMALE!" Welcome to IR Liquid Jesus! IR#8 competition-contribution by The Unforgiven/Immortal Riot -96 "I name the bitch: 2iS2H8" Girls, I Hate you all!
Демонстрации вирусных эффектов:
RIOT_IR8.COM |
Rip.699
Неопасный резидентный самошифрующийся вирус. Перехватывает INT 10h, 21h и записывает себя в конец COM-файлов при их запуске. 6-го марта и 8-го сентября выводит сообщение:RIP Patsy Cline 8th September 1932 - 6th March 1963
RIP.2314
Очень опасный резидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Затем перехватывает INT 1Ch, 20h, 21h, 27h, 2Fh и записывается в конец .COM-файлов при их запуске. В некоторых случаях стирает файлы, выводит сообщение:RADiCAL_iNVADiNG_PARASiTE(RiP)-ViRUS, iN 94/95 BY AeMlSc, SAYZ Hi 2 U!
Также содержит строки:
*.COM COMMAND DELTREE /Y \ >NIL:
RipTerminator.479
Опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM- и в заголовок EXE-файлов при их запуске или открытии. Содержит ошибку и может завесить систему при заражении EXE-файлов. В зависимости от системного таймера выводит текст:RIP TerminatorZ
Risin.269
Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Содержит строку:Mojo Risin' 1995!!!
Ritzen, семейство
Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов при их запуске или открытии. Содержат строку "PAPA" и:"Ritzen.1087,1098"
Dedicated to Ritzen, our Minister of Education and Science. We are getting sick of your budget cuts so we hope that you get sick of this virus.. (c) '93 by S.A.R. / TridenT
"Ritzen.1112"
Dedicated to Ritzen, our Minister of Education and Science. We are getting sick of your budget cuts so we hope that you get sick of this virus.. (c) '93 by S.A.R. (Students Agains Ritzen).
Rlyeh.1178
Очень опасный нерезидентный зашифрованый вирус. Ищет COM-файлы и записывается вместо них. Выводит сообщения:+------------------------------------------------------------------------------+ | _ | Ph'nglui mglw'nafh Cthulhu R'lyeh wagn'nagl fhtagn. | | /\___[X]___/\ | In his house in R'lyeh dead Cthulhu waits dreaming. | | / /|\ \ |-------------------------------------------------------| | / /\ /\ \ | This virus demonstrates interrupt trapping, anti- | | /\\/ \| |/ \//\ | heuristic code, EXE/COM determination, executable | | || || | data statements, heap use, code length determination, | | _|| ||_ | simple (XOR) encryption, and overwriting replication. | |------------------------------------------------------------------------------| | FOR DEMONSTRATIONAL AND EDUCATIONAL PURPOSES ONLY 0 NOT FOR PUBLIC RELEASE | +------------------------------------------------------------------------------+
ERROR: No infectable files found! ACTIVE: Infection in
RedHack.1405
Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске, открытии или при обращении к ним DOS-функциями FindFirst/Next. При запуске файлов ищет в них строку "Marek Sell" и перезагружает компьютер, если такая строка найдена.При заражении памяти перехватывает также INT 8 (таймер) и блокирует отладку - перезагружает компьютер. Содержит строку:
(c) Red Hacker, Zielona Gвra
RedLaugh.607
Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и при запуске любых файлов ищет в текущем каталоге .COM-файлы и записывается в их конец. Перед заражением каждого очередного файла переводит фон экрана в красный цвет и выводит текст:Красный смех гуляет по стране... 01/21/96 by FDD.
Демонстрации вирусных эффектов:
REDLAUGH.COM |
ReedCat.920
Безобидный нерезидентный зашифрованный вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. Содержит строку:<< Камышовый Кот ХПИ 1992 >>
Remember, семейство
Неопасные нерезидентные вирусы. Ищут .COM-файлы и записываются в их конец. 24 апреля выводят тексты (на японском?):"Remember.816,818":
вz------------------------------в{{ вx [ REMEMBER ] вx вx вx вx б@ пм |+й+м| е-дщз+++ б@ вx вx вx вx ||пuк|+P@б ||пuк|пм|+ вx вx вx вx жbж|иш|г@NеI+-й0йp вx вx вx вx -@ж|о+йpпржмиь|oм0и+к|пм|+ вx вx вx вu------------------------------вt вx- Written by Jean July. (C). -вx в|вwвwвwвwвwвwвwвwвwвwвwвwвwвwвwв}
"Remember.1283":
вz------------------------------в{{ вx [ Remember 4.0 ] вx вx вx вx б@ пм |+й+м| е-дщз+++ б@ вx вx вx вx ||пuк|+P@б ||пuк|пм|+ вx вx вx вx жbж|иш|г@NеI+-й0йp вx вx вx вx -@ж|о+йpпржмиь|oм0и+к|пм|+ вx вx вx вu------------------------------вt вx- Written by Jean at O.V.E.L -вx в|вwвwвwвwвwвwвwвwвwвwвwвwвwвwвwв}
<<< Welcome >>> ================================= The OVEL bbs Tel is 02-927-7432
=================================
Rencodes.4206
Опасный резидентный зашифрованный компаньон -вирус. Перехватывает INT 21h и создает компаньон-файлы .COM при обращении к .EXE-файлам. В зависимости от текущей даты и времени переименовывает все файлы текущего каталога в имена FILEnnnn.nnn и записывает список переименованных файлов в файл RENCODES.BRE. Проявляется каким-то видео-эффектом, содержит строки:COMEXE THIS IS THEVIRUS File0000.000 \RENCODES.BRE
Rescue.3774
Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. При заражении создает временный файл TMP.TMP. Портит сектора дисков, в зависимости от своих счетчиков портит загрузочный сектор текущего диска и выводит текст:Rescue 911 Computer Virus
----------------------------
Dear user,,
Your system is executing an illegal instruction at address 5E10:2D8F. However, this might cause you lots of problems later on. The system has got stuck , so please reboot your machine and make sure that all your programs are clean.
This error message is being broadcasted by the 911 computer VIRUS !!
Have a nice day ..
Reset.352
Неопасный резидентный вирус. Перехватывает INT 8, 21h и записывается в начало COM-файлов при обращении к ним. Через некоторое время после инсталляции в системную память перезагружает компьютер.Reset.503
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. По 13-м числам перехватывает также INT 1Ch и через некоторое время перезагружает компьютер.
Rest.1588
Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в середину EXE-файлов при их запуске. При инсталляции своей TSR копии может вывести текст:Abnormal program termination
В зависимости от текущей даты стирает сектора дисков и выводит текст:
Выключите ЭВМ Вам нужно отдохнуть
Retaliator
Неопасный нерезидентный самошифрующийся вирус. При запуске на диске C: ищет EXE-файлы и записывается в их конец. При запуске на любом другом диске не заражает файлы. Записывает ID-информацию во второй физический сектор диска. В некоторых случаях выводит сообщение и вызывает цикл чтения с диска:RETALIATOR has detected resident Anti-viral software. TRASHING HARD DISK!
Retribution
Неопасный резидентный вирус, перехватывает INT 08h, 21h и записывается в начало COM-файлов при их запуске. Периодически запускает скачущий шарик (как вирус "Ping-Pong" ). Содержит тексты:The Retribution. Creator of fear ...
Rev.4096
Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при обращениях к ним. Использует недокументированные вызовы DOS и в результате виснет под DOS 7 (Windows95). В октябре по воскресеньям выдает текст:These things saith he that hold TASM in his right hand and walketh amongst the FAT tables, boot sectors, and partition tables. He that hath a VDU, let him see what I typeth unto the users: I have a few things against thee, because thou sufferest that whore software security, and commit anti-virus protection. Behold, I will cast thou unto limbo, and them that repent their deeds shall be spared the low-level drive format. Remember therefore how thou hast recieved and heard, and hold fast, and repent. If therefore thou shalt not repent, I will come on thee as a thief, and thou shalt not know what hour I will come upon thee. - Revelation Alpha.
Также содержит строки:
Genesis Revelation Virus Alpha Exodus Copyright (c) 1991 by Transvisionary
Revenge.1127
Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов. В начале зараженных файлов расположены байты JMP xxxx, DB '777'. При некоторых условиях выводит текст:*** 777 - Revenge Attacker V1.01 ***
и уничтожает содержимое дисков C: и D:.
Reverse, семейство
Безобидные нерезидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращении к ним. Содержат строку "moc.dnammoc exe.niamcn", которая является именами файлов NCMAIN.EXE и COMMAND.COM, записанными задом наперед. Вирус проверяет имена файлов перед заражением и не инфицирует файл NCMAIN.EXE. При поражении файла COMMAND.COM вирус использует алгоритм вируса "Lehigh" . Вирусы также содержат строки:"Reverse.948": Reverse-948 i м. Created by Renata G. from Lubin City in Sept 1993
"Reverse.948.b": Red Spider Virus created by Garfield from Zielona Gora in Feb 1993
Revolt.662
Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Никак не проявляется. Содержит строки:When faced with oppression, we will revolt EAT THIS TEACH!!!
Rexan, семейство
Резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в начало запускаемых .COM-файлов. "Rexan.595" никак не проявляется, содержит строку:[ReXaN-ENC] v1.0 - (c) 1995 Black Angel. Brescia, Italy.
"Rexan.786" в зависимости от каких-то условий стирает сектора диска и выводит тексты:
Black Angel presents -< [ReXaN-ENC-2] >- (c) B.A. Brescia Italy
DISK CONTROLLER FAILURE
"Rexan.903" также стирает сектора дисков. 25-го декабря выводит текст:
-< [Hell's Party] >- (c) 1995 Black Angel. Brescia Italy - + - Be careful. Hell's Party controls your computer. Hell's Party activates TOMORROW. Merry Christmas!
RGB.544
Безобидный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. Никак не проявляется. Содержит строку:*.com SUICIDE 1.0 by RGB
RatSoft, семейство
Опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их конец. Содержат большое число ошибок, в результате чего зараженные файлы часто "вешают" компьютер. Выводят сообщения:"RatSoft.753": ratsoft company!!! "RatSoft.821,828": death you!!!!!! ratsoft co
Rattler.1536
Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. В зависимости от текущей даты стирает сектора дисков. Содержит строку:This is RATTLER v2.0. Read the Infected Voice!
Raubkopie.2219
Нерезидентный очень опасный вирус, поражает .COM- и EXE-файлы. В 13-ю пятницу стирает сектора на диске. Выводит на экран тексты:A C H T U N G ------------------------- Die Benutzung einer RAUBKOPIE ist strafbar! Nur wer Original-Disketten, HandbБcher, oder PD-Lizenzen besitzt, darf Kopien verwenden. Programmierung ist mБhevolle Detailarbeit: Wer Raubkopien verwendet, betrБgt Programmierer um den Lohn ihrer Arbeit.
-------------------------
Bist Du sauber ? (J/N) Ich will glauben, was Du sagst ..... CPU-ID wird gespeichert....
Rauser, семейство
Очень опасные резидентные вирусы. Перехватывают INT 21h и при запуске .COM-файлов записываются вместо них. При запуске .EXE-файлов создают компаньон -файлы с расширением COM."Rauser.250,253" выводят текст:
Maaike I Love You !
RavenSys.1324
Неопасный резидентный вирус. Записывается в конец SYS-файлов (системных драйверов DOS). Модифицирует заголовок драйвера таким образом, что код вируса оказывается вторым драйвером в одном файле. Заголовок драйвер-вируса содержит текст: "RAVEN00X". При загрузке зараженного драйвера вирус перехватывает INT 21h и при запуске COM- и EXE- файлов ищет SYS-файлы и заражает их.Вирус остается в памяти двумя способам в зависимости от системных условий. В первом случае вирус остается в памяти там же, куда был загружен DOS'ом, ждет DOS-вызова ChangeMem (AH=4Ah), выделяет себе новый блок памяти и копирует туда свой код. Во втором случае вирус сохраняет свой код на первом треке винчестера, копирует 90 байт своего кода в таблицу векторов прерываний, устанавливает туда INT 21h, затем (как и в первом случае) ждет вызова ChangeMem, выделяет себе блок памяти и считывает с диска свой код.
При инсталляции вирус выводит текст:
+-+---0-0 0 0 Raven Sys Infector 1.0 0 0 0----+-+ +-+-----------------------------------------------------------------+-+ |-|-+ Created By Stone Shadow +-:-| |-:-+ Copyright (c) 1995 - 96 By COEAC Viral System Development. +-|-| +-+-----------------------------------------------------------------+-+ +-+--- 00 0 0 Creatures Of Electronic Anti Christ 0 0 00 ---+-+
Raving.2300
Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается вместо них. Выводит сообщение:I DON'T THINK YOU WOULD LIKE TO SMILE, BECAUSE I HAVE INFECTED A FILE!!! HAVE YOU HEARD OF A RAVING VIRUS MC, YES YOU GUESSED IT THAT IS ME!!! YOU WONT SEE ANOTHER RHYME UNTIL IT IS INFECTING TIME!!!
Rawal.1378
Неопасный нерезидентный вирус. При запуске ищет командный процессор (COMMAND.COM), затем .COM-файлы и записывается в их конец. В июле расшифровывает и выводит текст:B I O - D A T A NAME : SANJAY RAWAL DOB : 24/11/1967 ADDRESS : 96, SATYA NIKETAN, NEW DELHI - 21 TELE : 675557 QUALS. : DIP. ELECTRICAL, SEC-A DIP. I.E.T.E.,POST DIP. : COMPUTER APPLICATIONS, SHORT COURSE FROM A.T.I.E.P.I. EXPRNCE : DBASE III+,CLIPPER,FOXPRO,ASSEMBLY 85/88, QBASIC,TURBO C : SINCE JAN. 1990 A N Y V A C A N C Y ????
Содержит также строки:
*.com COMSPEC= S A N
Raimon.994
Очень опасный нерезидентный зашифрованный вирус. Записывается вместо всех файлов в текущем каталоге. Содержит/выводит строки:*.* .. By RiKkY moUsE
Presenting the St00pid Raymond Lau Virus V1.0DUHH -=>Mocking Raymon Lau to all<=- >Mock mOck moCk mocK< Quoting a chat between Raymonnd and Anon RL-> There is no such thing accomputer as a computer virus! Anon-> I think that 112MB of my hard drive might disagree with you there RL-> Oh yes like I believe you wrote a 112MB virus! And 2 or 3 things that won RL the prestigious FIDO IDIOT award! How did you know Im still a Virgin? Will you be my friend? Everybdy knows that you dont put healthy computer next to one sick with computer virus and make healthy computer sick too! Please guide me through this darkness to see the light even though I wont listen to you?
Rb91.899
Очень опасный нерезидентный самошифрующийся вирус. Ищет .COM-файлы и записывается в их конец. Содержит строку: "Virus0 EMO *.com *.* RB91". В апреле форматирует сектора дисков. Нерезидентен, но оставляет маленькую резидентную программу, которая перехватывает INT 8 (таймер) и периодически вызывает INT 9 и INT 0Eh.
Rch, семейство
Неопасные резидентные полиморфик -вирусы. Перехватывают INT 9, 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. "Rch.1217" уничтожает антивирусные файлы данных CHKLIST.MS и SMARTCHK.CPS. 20-го мая вирусы записывают в буффер клавиатуры текст:"Just a joke,Don't mind!"---Rch
RDA.Fighter, семейство
Очень опасные резидентные полиморфик -вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец COM- и EXE-файлов при их запуске, открытии или переименовании. При заражении файлов дополнительно шифруют часть тела заражаемых файлов."RDA.Fighter.7408" - файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с пораженного диска перехватывает INT 8, ждет загрузки DOS и перехватывает INT 21h. Весьма "полиморфичен": при заражении файлов генерирует и записывает в них последовательность вложенных циклов расшифровки. Все циклы состоят из полиморфик-кода, а всего циклов может быть до 16. При запуске зараженного файла первый цикл расшифровывает все остальные циклы и тело вируса и передает управление второму циклу, второй цикл расшифровывает оставшиеся циклы и т.д. Таким образом, тело вируса в файлах может быть зашифровано до 16 раз.
Вирусы используют алгоритм восстановления ошибок, что позволяет им исправлять изменения в своем теле. Под отладчиком стирают сектора дисков.
Содержат строки:
"RDA.Fighter.5871": RandomDecodingAlgoritm 1.0 "Stealth Fighter PART I" devoted MSU!
"RDA.Fighter.5969": RandomDecodingAlgoritm 1.1 "Stealth Fighter PART I (1.1) for ALL."
"RDA.Fighter.7408": "RandomDecodingAlgoritm 2.0" "PhantomPolymorphicMultiLayerEngine 1.2" "Stealth Fighter 2.0 : New Aggression."
"RDA.Fighter.7408" выводит последнюю строку на экран.
После инсталляции в оперативную память вирусы восстанавливают (в оперативной памяти) код программы-хозяина. При этом они используют данные ("данные лечения"), которые были сохранены в теле вируса при заражении файла - первые 1Ah байт файла, адрес и длину зашифрованного участка файла и т.д. Самой интересной особенностью этих вирусов является тот факт, что "данные лечения" остаются зашифрованными после того, как отработал основной расшифровщик, однако в теле вируса отсутствует в явном виде код расшифровщика этих данных.
При заражении файлов вирус дополнительно к основному полиморфик-шифровщику шифрует "данные лечения" случайно выбранным методом: в коде шифровщика "данных лечения" присутствует до 16 команд, которые случайным образом выбираются из 16 вариантов (XOR, SUB, ADD, ROL, ROR, NEG и т.д.). Всего возможно 65535 (FFFFh) вариантов шифровщика. При заражении файла вирус шифрует "данные лечения" таким способом, но не сохраняет код соответствующего расшифровщика.
Для расшифровки "данных лечения" вирус случайным образом набирает расшифровщик (из тех же 16 команд), пытается расшифровать "данные лечения", подсчитывает и сравнивает CRC-сумму. Если расшифровка неудачна (не совпала CRC-сумма), вирус генерирует следующий вариант расшифровщика, и так до тех пор, пока "данные лечения" не окажутся расшифрованными.
Realize.498
Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Содержит строку:WHAT? I gotta die before you [realiZe] I was a nigga with open eyes.Dont you hear the guns you stupid, dumb,dicksuckin, bum politicians![realiZe] - THE LOST FREEDOM / SWEDEN
Rebel.1509
Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Уничтожает файлы CHKLIST.MS, CHKLIST.CPS, SMARTCHK.CPS. 16-го апреля расшифровывает и выводит текст:Happy Birthday KAORI! Dedicato a tutte le meravigliose ragazze giapponesi (C) BitLabs (The RebelBase) 1993, N. Italy.
Reboot.715
Нерезидентный опасный вирус. При старте обходит каталоги и записываются в конец .COM-файлов (в начало файла записывается команды MOV AX,FFF0h; JMP Loc_Virus). В зависимости от системного времени перезагружает компьютер.
RedArc, семейство
Опасные нерезидентные зашифрованные вирусы. При запуске ищут COM-файлы в текущем каталоге и записываются в их конец. Используют настолько необычные антиотладочные приемы, что иногда вешают компьютер. Некоторые из них также содержат ошибки и портят короткие COM-файлы.В зависимости от системного таймера "RedArc.623,665" проявляются видеоэффектом. Содержат строки:
"RedArc.390,415": DrWeb - горбуха! RedArc // [TAVC] "RedArc.600": RedArc // [TAVC] "RedArc.623": -=* Red Arc *=- "RedArc.1000":
Звон гитары надорвался И затих, замолк навечно. Смех тревогою раздался, Словно все бесчеловечно! Вирус DemoFraud by RedArc // [TAVC] SGWW, DVC, FotD, SOS group, TAVC, CiD
Демонстрации вирусных эффектов:
REDARC.COM |